BDrive Sicherheit und Kryptokonzept

Anfrage an: Bundesdruckerei GmbH

1. Kryptokonzept zu BDrive
2. die Domain, unter der die BDrive-Server erreichbar sind
3. eine Liste aller TLS-Versionen vom BDrive-Server aktuell angenommen/unterstützt werden
4. eine Liste bereits geschlossener Sicherheitslücken in BDrive, inklusive Kategorisierung, Beschreibung und Kritikalität. Alternativ ein Sicherheitsaudit mit diesen geschlossenen Sicherheitslücken, seit Inbetriebnahme des Dienstes. (Noch offene Sicherheitslücken können geschwärzt werden, sofern sie enthalten sind.)
5. eine Liste durchgeführter externer Sicherheitsaudits von BDrive seit Inbetriebnahme (inklusive Datum)
6. eine Liste der aktuell verwendeten „Anbietern von Cloud-Speichern” in Form von Unternehmens-/Dienstenamen (vgl. Punkt 7.4/Seite 12 des Sicherheits-Whitepapers)

HIntergrund ist, dass Sie in dem Sicherheits-Whitepaper zu BDrive [1] auf Seite 4 davon sprechen, dass „alle kryptographischen Verfahren in einem Kryptokonzept beschrieben [sind]” sowie die Aussage, dass nur eine einzige Ciphersuite [2] für TLS benutzt wird, wobei nur eine für TLS 1.2 angegeben ist und keine für TLS 1.3 (Seite 9 im benannten Dokument).
Bzgl. der Sicherheitslücken/Sicherheitsaudits verweise ich auf Punkt 6.4 (Seite 11 f.).

Nebenbei sei angemerkt, dass das Dokument etwas veraltet erscheint. Mehrfach wird auf die Zukunft verwiesen und davon gesprochen, dass 2018 bestimmte Dinge angestrebt werden sollen. (macOS App und SEAL-3-Zertifizierung)

[1] https://www.bundesdruckerei.de/de/loesungen/Bdrive#Downloads
[2] https://ciphersuite.info/cs/TLS_DHE_RSA_WITH_AES_256_CBC_SHA256/

Anfrage abgelehnt

  • Datum
    27. Oktober 2020
  • Frist
    1. Dezember 2020
  • Ein:e Follower:in
<< Anfragesteller:in >>
Antrag nach dem IFG/UIG/VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu: 1. Kryptokonzept zu…
An Bundesdruckerei GmbH Details
Von
<< Anfragesteller:in >>
Betreff
BDrive Sicherheit und Kryptokonzept [#201740]
Datum
27. Oktober 2020 01:23
An
Bundesdruckerei GmbH
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu:
1. Kryptokonzept zu BDrive 2. die Domain, unter der die BDrive-Server erreichbar sind 3. eine Liste aller TLS-Versionen vom BDrive-Server aktuell angenommen/unterstützt werden 4. eine Liste bereits geschlossener Sicherheitslücken in BDrive, inklusive Kategorisierung, Beschreibung und Kritikalität. Alternativ ein Sicherheitsaudit mit diesen geschlossenen Sicherheitslücken, seit Inbetriebnahme des Dienstes. (Noch offene Sicherheitslücken können geschwärzt werden, sofern sie enthalten sind.) 5. eine Liste durchgeführter externer Sicherheitsaudits von BDrive seit Inbetriebnahme (inklusive Datum) 6. eine Liste der aktuell verwendeten „Anbietern von Cloud-Speichern” in Form von Unternehmens-/Dienstenamen (vgl. Punkt 7.4/Seite 12 des Sicherheits-Whitepapers) HIntergrund ist, dass Sie in dem Sicherheits-Whitepaper zu BDrive [1] auf Seite 4 davon sprechen, dass „alle kryptographischen Verfahren in einem Kryptokonzept beschrieben [sind]” sowie die Aussage, dass nur eine einzige Ciphersuite [2] für TLS benutzt wird, wobei nur eine für TLS 1.2 angegeben ist und keine für TLS 1.3 (Seite 9 im benannten Dokument). Bzgl. der Sicherheitslücken/Sicherheitsaudits verweise ich auf Punkt 6.4 (Seite 11 f.). Nebenbei sei angemerkt, dass das Dokument etwas veraltet erscheint. Mehrfach wird auf die Zukunft verwiesen und davon gesprochen, dass 2018 bestimmte Dinge angestrebt werden sollen. (macOS App und SEAL-3-Zertifizierung) [1] https://www.bundesdruckerei.de/de/loesungen/Bdrive#Downloads [2] https://ciphersuite.info/cs/TLS_DHE_RSA_WITH_AES_256_CBC_SHA256/
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 201740 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/201740/
Mit freundlichen Grüßen << Anfragesteller:in >>

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!